CVE-2026-41207 in netty-incubator-codec-ohttp정보

요약

\~에 의해 VulDB • 2026. 06. 04.

netty incubator codec.bhttp은 Java 언어 기반의 바이너리 HTTP 파서입니다. 버전 0.0.21.Final 이전에서는 HKDF_expand가 실패 시에도 NULL이 아닌 값을 반환합니다. 반환된 byte[]는 0으로 채워지며, 성공과 실패를 구분할 수 있는 방법이 없습니다. 이 출력값은 응답 AEAD를 위한 HKDF 키 재료로 사용되므로, 실패 시 모든 바이트가 0인 키가 조용히 생성됩니다. EVP_HPKE_CTX_export가 실패할 경우에도 0으로 채워진 빈 byte[] 배열을 반환합니다. 이 byte[]는 OHttpCrypto.createResponseAEAD(...)에 직접 전달됩니다. 조용히 생성된 모든 바이트가 0인 내보내기 비밀값은 공격자가 예측 가능한 결정론적인 AEAD 키를 생성합니다. 버전 0.0.21.Final에서 해당 문제가 패치되었습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

책임이 있는

GitHub M

예약하다

2026. 04. 18.

공개

2026. 06. 04.

모더레이션

수락

항목

VDB-368376

CPE

준비됨

CWE

CWE-330 (확인됨)

CVSS

5.3 (VulDB)

EPSS

0.00000

KEV

아니요

활동

낮음

출처

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41207
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41207
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41207/

◂ 이전 개요 다음 ▸

Want to stay up to date on a daily basis?

Enable the mail alert feature now!